Y = Supported
      Data Sources
STIX Object STIX Property Summary Categories IBM Qradar/IBM QRadar on Cloud/Cloud Data Lake Splunk Enterprise Security Elasticsearch (ECS) Carbon Black CB Response BigFix MS ATP Guardium IBM Cloud Security Advisor
  STIX Pattern to Query Results to STIX Object STIX Pattern to Query Results to STIX Object STIX Pattern to Query Results to STIX Object STIX Pattern to Query Results to STIX Object STIX Pattern to Query Results to STIX Object STIX Pattern to Query Results to STIX Object STIX Pattern to Query Results to STIX Object STIX Pattern to Query Results to STIX Object
ipv4-addr                                    
value IPv4  Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y Y
resolves_to_refs   Y   Y   Y       Y   Y        
belongs_to_refs                                
ipv6-addr                                    
value IPv6 Y Y Y Y Y Y     Y Y Y Y     Y Y
resolves_to_refs   Y Y Y   Y       Y   Y        
belongs_to_refs                                
url                                    
value URL Y   Y Y Y           Y Y     Y Y
mac-addr                                    
value MAC Y   Y Y Y       Y Y Y Y     Y  
file                                    
name File Name Y Y Y Y Y Y Y Y Y Y Y Y        
hashes.SHA-265 File Hashes Y Y Y           Y Y Y Y        
hashes.MD5 Y Y Y       Y Y Y Y Y Y        
hashes.SHA-1 Y Y Y           Y Y Y Y        
hashes.UNKNOWN   Y Y Y                        
size File Meta-data     Y Y       Y Y Y            
name_enc                                
magic_number_hex                                
mime_type                                
created     Y Y       Y                
modified     Y Y                        
accessed                                
parent_directory_ref     Y Y         Y Y   Y        
is_encrypted                                
encryption_algorithm                                
decryption_key                                
contains_refs                                
content_ref                                
Extensions ( ntfs-ext, raster-image-ext, pdf-ext, archive-ext, windows-pebinary-ext )                                
process                                    
is_hidden Process id/name                                
pid     Y Y Y Y Y   Y Y Y Y        
name     Y Y     Y Y Y Y Y Y        
created Process Activity flags         Y Y Y Y     Y Y        
cwd                                
arguments                                
command_line         Y Y Y Y     Y Y        
environment_variables                                
opened_connection_refs Process ref attributes               Y                
creator_user_ref     Y Y Y Y Y Y Y Y Y Y        
binary_ref     Y Y       Y Y Y Y Y        
parent_ref             Y Y Y Y Y Y        
child_refs                                
network-traffic                                    
src_port Network Traffic - src/dst port, protocol Y Y Y Y Y Y Y   Y Y Y Y     Y Y
dst_port Y Y Y Y Y Y Y   Y Y Y Y     Y Y
protocols[*] Y Y Y Y Y Y       Y Y Y     Y Y
start Network Traffic - start/end time Y Y Y                       Y  
end Y Y Y                       Y  
src_ref   Y Y Y Y Y Y   Y Y Y Y Y       Y
dst_ref   Y Y Y Y Y Y   Y Y Y Y Y       Y
user-account                                    
user_id User Account (UID, login, display) Y Y Y Y Y Y Y Y   Y Y Y Y Y Y Y
account_login       Y             Y Y     Y Y
account_type                                
display_name                             Y Y
is_service_account User Account (various flags)                                
is_privileged                                
can_escalate_privs                                
is_disabled                                
account_created User Account (activity flags)                                
account_expires                                
password_last_changed                                
account_first_login                                
account_last_login                                
artifact                                    
mime_type                                
payload_bin Artifact - bin payload Y Y   Y Y                   Y Y
url                                
hashes                                
autonomous-system                                  
number                                
name                                
rir                                
directory                                    
path Directory Name/Path     Y Y           Y   Y        
path_enc                                
created Directory Activity Flags     Y Y                        
modified     Y Y                        
accessed                                
contains_refs                                
domain-name                                    
value Y Y Y Y Y Y Y               Y Y
resolves_to_refs                                
email-addr                                    
value Email Addr.     Y Y                     Y  
display_name                                
belongs_to_ref                                
email-message                                    
is_multipart Email attributes       Y                        
date                                
content_type                                
sender_ref     Y Y                        
from_ref     Y Y                        
to_refs     Y                          
cc_refs     Y                          
bcc_refs     Y                          
subject Email content     Y Y                        
received_lines                                
additional_header_fields                                
body                                
body_multipart     Y                          
raw_email_ref                                
Mime-part-type                                
x509-certificate                                    
is_self_signed x509 certificate                                
hashes     Y Y                        
version     Y Y                        
serial_number     Y Y                        
signature_algorithm     Y Y                        
issuer     Y Y                        
validity_not_before                                
validity_not_after                                
subject     Y Y                        
subject_public_key_algorithm     Y Y                        
subject_public_key_modulus                                
subject_public_key_exponent                                
x509_v3_extensions                                
Windows-registry-key                                  
key Windows Registry     Y Y             Y Y        
values     Y               Y Y        
modified                                
creator_user_ref     Y Y                        
number_of_subkeys                                 
software                                    
name Software (name)                                
cpe                                
languages                                
vendor                                
version                                
mutex                                    
name                                
                                 
                                 
Custom Objects                                    
x_readable-payload                                  
value Y   Y                          
x_com_ibm_ariel                                    
category_id QRadar Attributes (Category, qID, Log Source)   Y                            
qid_name   Y                            
category_name   Y                            
log_source_id   Y                            
identity_ip   Y                            
log_source_name   Y                            
magnitude   Y                            
qid   Y                            
utf8_payload UTF8__payload   Y                            
x_com_splunk_spl                                  
utf8_payload Custom Splunk (utf8_payload, user, bytes)       Y                        
user       Y                        
bytes       Y                        
x_com_bigfix_relevance                                  
computer_identity Computer ID                   Y            
x_com_msatp                                    
computer_identity Computer ID                       Y        
x_com_guardium                                    
db_user Guardium attributes (service  name, audit task, database, full sql, database exceptions)                           Y    
os_user                           Y    
audit_process_description                           Y    
audit_task_description                           Y    
run_detail                           Y    
event_type                           Y    
audit_process_id                             Y    
audit_task_id                             Y    
run_id                             Y    
database_name                           Y Y    
datacategory                           Y      
remotesource                           Y      
full_sql                             Y    
service_name                           Y Y    
exception_errorcode                           Y Y    
exception_description                             Y    
exception_database_error_text                             Y    
sql_caused_exception                             Y    
                                 
created   Activity Flags   Y   Y   Y   Y   Y   Y   Y   Y
modified     Y   Y   Y   Y   Y   Y   Y   Y
first_observed     Y   Y   Y   Y   Y   Y   Y   Y
last_observed     Y   Y   Y   Y   Y   Y   Y   Y
number_observed   Y   Y   Y   Y   Y   Y   Y   Y